Эксперты отчитались об атаках Fancy Bear во втором полугодии 2017 года
Во втором полугодии 2017 года кибершпионская группировка Pawn Storm, также известная как Fancy Bear и APT28, продолжала атаковать организации по всему миру. Об этом сообщается в отчете ИБ-компании Trend Micro.
«С течением времени эти атаки не становятся более инновационными в техническом плане, однако они хорошо подготовлены, постоянны, и защититься от них очень сложно. Pawn Storm располагает большим арсеналом инструментов, в том числе методами социальной инженерии, вредоносным ПО и эксплоитами, поэтому не испытывает нужды в инновациях, за исключением периодического использования обнаруженных ею уязвимостей нулевого дня и эксплуатации уязвимостей в ПО сразу же после выхода исправлений», — говорится в отчете.
Летом и осенью 2017 года эксперты Trend Micro зафиксировали атаки на несколько организаций с использованием фишинга и целенаправленного фишинга. Уже в течение нескольких лет Pawn Storm придерживается в работе одной и той же схемы и регулярно использует те же самые методы. Одним из таких методов является tabnabbing – разновидность фишинга, заключающаяся в подмене содержимого неактивных вкладок браузера, например, при переключении между ними. Tabnabbing применялся в атаках на пользователей Yahoo! в августе-сентябре 2017 года в электронных письмах политической тематики.
С целью завладеть нужными учетными данными Pawn Storm отправляет жертве фишинговое письмо, например, от имени сервера Microsoft Exchange с сообщением об истекшем пароле, или уведомление от OneDrive о появлении нового файла. В октябре-ноябре Pawn Storm таким образом пыталась дважды атаковать неправительственную организацию в Нидерландах.
Во втором полугодии Pawn Storm также атаковала целый ряд федераций по зимним олимпийским видам спорта, в том числе Европейскую федерацию хоккея на льду, Международную федерацию лыжного спорта, Международный союз биатлонистов и пр.
За неделю до выборов президента Ирана в мае 2017 года Pawn Storm запустила фишинговый сайт для атак на пользователей сервиса chmail.ir. Накануне голосования, 18 мая, пользователи chmail.ir получили фишинговые письма, предназначенные для похищения учетных данных. Аналогичную активность исследователи ранее уже фиксировали по отношению к политическим организациям в Германии, Франции, Украине, Черногории, Турции и США.
В июне 2017 года был создан поддельный сайт ADFS (Active Directory Federation Services) Сената США. Сравнив цифровые отпечатки вышеупомянутых фишинговых сайтов с собранными за пять лет данными, эксперты смогли связать их с рядом других операций Pawn Storm в 2016-2017 годах.
Источник: securitylab.ru
